Apple güvenlik açıkları için yamalar, güvenlik araştırmacılarının şirketi uyarmasının ardından yayınlandı.
Zero Day Initiative, Zero Day Initiative araştırmacıları tarafından keşfedilen birden fazla güvenlik açığını ortaya çıkardı. Bunlar, yalnızca etkilenen satıcı tarafından bu güvenlik açıkları için yamalar yayınlandıktan sonra ortaya çıktı.
ZDI danışma belgesi, macOS, Safari, WebKit, GarageBand ve daha fazlası dahil olmak üzere birden çok Apple yazılımında bulunan yedi Apple güvenlik açığını listeledi. Bunlar için yamalar yayınlandı ve kullanıcılardan aynı güncellemeleri yapmaları isteniyor.
Aşağıdaki yedi Apple güvenlik açığı Zero Day Initiative danışma belgesinde not edildi
- macOS’ta CVSS puanı 3,3 olan CVE-2023-27929 bulundu.
- macOS’ta CVSS puanı 3,3 olan CVE-2022-42798 bulundu.
- Safari’de CVSS puanı 8,8 olan CVE-2022-32922 bulundu.
- WebKit’te CVSS puanı 4,3 olan CVE-2022-32912 bulundu.
- macOS’ta CVSS puanı 3,3 olan CVE-2022-32797 bulundu.
- GarageBand’de CVSS puanı 3,3 olan CVE-2023-27938 bulundu.
- macOS’ta CVSS puanı 3,3 olan CVE-2023-23519 bulundu.
Apple ürünlerindeki güvenlik açıkları hakkında ayrıntılar
Yukarıdaki Apple güvenlik açıklarından yararlanan güvenlik olayları veya sorunları, şirket tavsiyelerinde açıklanmadı.
“Müşterilerimizin korunması için Apple, bir soruşturma yapılana ve yamalar veya sürümler mevcut olana kadar güvenlik sorunlarını ifşa etmez, tartışmaz veya onaylamaz. Son sürümler, Apple güvenlik güncellemeleri sayfasında listelenir, ”Apple raporunu okuyun.
- CVE-2023-27929, bilgisayar korsanlarının yama uygulanmamış sistemlerdeki hassas verilere erişmesine izin verebilir. Kötü amaçlı KTX görüntüleri, diğer güvenlik açıklarıyla bir araya getirildiğinde keyfi kod çalıştırmak için kullanılabilen tahsis edilmiş bir arabelleğin sonundan sonra bir okumayı tetikleyebilir. Hata, macOS Ventura 13.3, tvOS 16.4, watchOS 9.4, iOS 16.4 ve iPadOS 16.4’te düzeltildi. Bu güvenlik açığı için bir güncelleme yayınlandı.
- CVE-2022-42798, kötü amaçlarla oluşturulmuş bir ses dosyasının, yama uygulanmamış sistemlerde kullanıcı bilgilerini açığa çıkarmasına izin verir. Sorun tvOS 16.1, iOS 15.7.1, iPadOS 15.7.1, macOS Ventura 13, watchOS 9.1 ve iOS 16.1, iPadOS 16, macOS Monterey 12.6.1 ve macOS Big Sur 11.7.1’de düzeltildi. Apple ürünlerindeki bu güvenlik açığını gidermek için bir yama yayınlandı.
- CVE-2022-32922, bilgisayar korsanlarının etkilenen sistemlerde rasgele kod çalıştırmasına izin verebilir, ancak virüslü bir sayfaya tıklamak gibi bir istismarın gerçekleşmesi için kullanıcı etkileşimi gerekir. Hata, Safari 16.1, iOS 16.1 ve iPadOS 16 ve macOS Ventura 13’te giderildi. Bu güvenlik açığı için Apple ürünlerinde bir yama kullanıma sunuldu.
- CVE-2022-32912, bilgisayar korsanlarının etkilenen Apple WebKit’teki hassas bilgilere erişmesine izin verebilir. Hata, Safari 16, iOS 16, iOS 15.7 ve iPadOS 15.7’de düzeltildi. Şirketin yama güncelleme sayfası tarafından yayınlanan bir yama kullanıcıların kullanımına sunuldu.
- CVE-2022-32797, burada bahsedilen Apple ürünlerindeki diğer birçok güvenlik açığı gibi, bu hata da bilgisayar korsanlarının yama uygulanmamış cihazlardaki hassas bilgilere erişmesine izin verebilir. Sorun, macOS Big Sur 111.6.8 ve macOS Monterey 12.5’te düzeltildi. Yama ayrıntıları şirket danışmanlığında bulunabilir.
- CVE-2023-27938, giriş doğrulaması iyileştirilerek ele alındı. Bilgisayar korsanının MIDI dosyasının ayrıştırılması, yama uygulanmamış yazılımlarda uygulamanın sonlandırılmasına yol açabilir. macOS 10.4.8 için GarageBand’de düzeltilmiştir.
- CVE-2023-23519, kötü amaçlı KTX görüntüsünün işlendiğinde bir hizmet reddi saldırısı olabileceği ImageIO çerçevesinde mevcuttur. Hata macOS Ventura 13.2, tvOS 16.3, iOS 16.3, iPadOS 16.3 ve watchOS 9.3’te düzeltildi. Kullanıcıların, sistemlerini ihlale açık bırakmamaları için en son yama sürümüne yükseltmeleri önerilir.
Apple ve diğer cihazlardaki güvenlik açıklarını yamalamak çok önemli
Tüm siber saldırıların %95’inden fazlası güvenlik açıklarından beslenir. Güvenlik açığı, bir düzeltme ekinin yayınlanmadığı sıfır gün veya kullanıcılar tarafından kaçırılan güncellemelerin kullanıma sunulduğu bir gün olabilir. Yama yönetimiyle ilgili son zamanlarda yapılan bir araştırmaya göre yalnızca %30 olan bir yama yönetimi sürecini devreye sokmak işletmeler için çok önemlidir.
Mevcut bir yama ile güvenlik açıklarından yararlanmaya atfedilen başarılı siber saldırıların %82’si, genellikle bir düğmeye basarak sistemlerin yamalandığından emin olmak için yeterli çabayı göstermeyen kullanıcıların ve şirketlerin büyük ihmalidir. veya otomatik olarak.
Düzeltme eki uygulanmamış bir güvenlik açığından kaynaklanan bir veri ihlalinin ortalama maliyeti yaklaşık 3,86 milyon dolarlık bir kayıp oluşturduğunda ve işletmelerin %29 oranında kapanmasına neden olduğunda, yamaları uygulamak ve her cihaza otomatik yazılım güncellemeleri ayarlamak için bir uyandırma çağrısıdır. .